Saturday, October 31, 2009

Panduan Instalasi Awal MikroTik RB450G

Untuk mengetahui cara kerja Router MikroTik, digunakan MikroTik RB450G Wireless Router (Indoor) dan RB1000. Diharapkan router ini dapat menjawab permasalahan yang dihadapi seperti bagaimana mengendalikan bandwitdh (Bandwidth Control), PAT (mengakses perangkat lokal dari Internet), NAT (komputer lokal bisa akses Internet), VLAN untuk keperluan segmentasi, mengendalikan pengguna Hot Spot. Sebelum melakukan instalasi awal, sebaiknya download file-file berikut ini :
  1. Aplikasi Mikrotik Neighbor Viewer
  2. Aplikasi Winbox
  3. Reference Manual (dalam format PDF)
Dengan adanya kedua aplikasi di atas, maka instalasi awal baru bisa dilakukan. Saat masih baru, RB450G tidak dilengkapi dengan IP Address, hanya MAC Address. Untuk itu perlu menggunakan aplikasi telnet yang mendukung MAC Address. Dalam aplikasi Mikrotik Neighbor Viewer sudah tersedia telnet dengan MAC Address. Namun sayangnya, setiap kali mau login ke RB450, selalu gagal dengan pesan kesalahan "Connection timeout". Awalnya kami menghubungkan PC dan RB450G ke sebuah switch. Meskipun hubungannya sudah diubah dari PC langsung ke RB450G, pesan kesalahan tetap muncul dan proses pemberian IP Address selalu gagal.

Karena penggunaan aplikasi Mikrotik Neighbor Viewer selalu gagal, akhirnya pakai aplikasi WinBox. Karena RB450G belum punya IP Address, maka yang dimasukkan adalah MAC Address-nya. Seperti biasa, saat awal username yang digunakan adalah admin tanpa password. Setelah bisa masuk ke RB450G pake WinBox Console, kita baru bisa men-setting IP Address.

Setting IP Address :
IP -> Addresses -> + -> Address : 192.168.1.3/24; Network : kosongin; Broadcast : kosongin; Interface : ether-1 gateway -> OK

Setelah port pertama atau Eth1/PoE diberi IP = 192.168.1.3, saya mencoba keluar dari WinBox Console agar bisa masuk lagi ke WinBox Console tetapi menggunakan IP Address bukan MAC Address.

Ternyata tidak bisa masuk ke RB450G dengan menggunakan IP Address. Akhirnya harus pakai MAC Address kembali. Gak tahu kenapa. Apakah mungkin karena port 8291 belum dibuka?

Ternyata ada Action=drop pada menu IP -> Firewall -> Filter Rules -> Chain : input; In Interface : ether1-gateway. Setelah diubah Action=accept, koneksi dengan WinBox Console via IP Address dan koneksi dengan web browser bisa dilakukan.

Login
[msmunir@lenovo ~]$ telnet 202.46.3.xx
Trying 202.46.3.xx...
Connected to 202.46.3.xx.
Escape character is '^]'.

MikroTik v3.28
Login: admin
Password:
[admin@MikroTik] >

Ubah Password :
[admin@MikroTik] > password
old password: *******
new password: ********
retype new password: ********
[admin@MikroTik] >

Ubah nama mesin dari MikroTik menjadi MikroTik1 :
[admin@MikroTik] > system identity set name=MikroTik1
[admin@MikroTik1] >


Melihat interface
[admin@MikroTik1] > interface print
Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU
0 R ether1-gateway ether 1500 1526
1 R ether2-local ether 1500 1524
2 ether3-local ether 1500 1524
3 ether4-local ether 1500 1524
4 ether5-local ether 1500 1524
[admin@MikroTik1] >


Memberikan IP Address :
[admin@MikroTik1] > ip address add address=192.168.1.3 netmask=255.255.255.0 interface=ether1-gateway
[admin@MikroTik1] > ip address add address=192.168.2.1 netmask=255.255.255.0 interface=ether2-local
[admin@MikroTik1] >

Melihat konfigurasi IP Address :
[admin@MikroTik1] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK BROADCAST INTERFACE
0 192.168.1.3/24 192.168.1.0 192.168.1.255 ether1-gateway
1 192.168.2.1/24 192.168.2.0 192.168.2.255 ether2-local
[admin@MikroTik1] >


Memberikan default Gateway
[admin@MikroTik1] > ip route add gateway=192.168.1.1

Melihat tabel routing
[admin@MikroTik1] > ip route print
Flags: X - disabled, A - active, D - dynamic,
C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
# DST-ADDRESS PREF-SRC G GATEWAY DISTANCE IN..
0 A S 0.0.0.0/0 r 192.168.1.1 1 et..
1 ADC 192.168.1.0/24 192.168.1.3 0 et..
2 ADC 192.168.2.0/24 192.168.2.1 0 et..
[admin@MikroTik1] >


Setting DNS
[admin@MikroTik1] > ip dns set primary-dns=203.130.196.155 allow-remoterequests=no
[admin@MikroTik1] > ip dns set secondary-dns=203.130.208.18 allow-remoterequests=no

Melihat konfigurasi DNS
[admin@MikroTik1] > ip dns print
primary-dns: 203.130.196.155
secondary-dns: 203.130.208.18
allow-remote-requests: yes
max-udp-packet-size: 512
cache-size: 2048KiB
cache-max-ttl: 1w
cache-used: 6KiB
[admin@MikroTik1] >


Tes akses domain :
admin@MikroTik1] > ping yahoo.com
209.191.93.53 64 byte ping: ttl=43 time=369 ms
209.191.93.53 64 byte ping: ttl=43 time=402 ms
209.191.93.53 64 byte ping: ttl=43 time=376 ms
209.191.93.53 64 byte ping: ttl=43 time=372 ms
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 369/379.7/402 ms
[admin@MikroTik1] >


Setup Masquerading
[admin@MikroTik1] > ip firewall nat add action=masquerade out-interface=ether1-gateway chain=srcnat
[admin@MikroTik1] >


Lihat konfigurasi masquerading :
[admin@MikroTik1] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 chain=srcnat action=masquerade out-interface=ether1-gateway
[admin@MikroTik1] >


Cara lain yang pakai menu:

Ubah Password :
System -> Password -> New Password : 123456; Confirm Password : 123456 -> OK

Aktifkan Eth2
IP -> Firewall -> Filter Rules -> Chain : input; In. Interface : ether2-local; Action : accept -> OK
IP -> Firewall -> NAT -> Chain : srcnat; Src. Address : 192.168.2.0/24; Out. Interface : ether1-gateway; Action : masquerade -> OK
IP -> Firewall -> Mangle -> Chain : forward; In. Interface : ether1-gateway; Out. Interface : ether2-local; Src. Address List : ! nice; Action : mark connection; New Connection Mark : VLAN1; Passthrough : enable -> OK

Setting DNS
IP -> Settings -> Primary DNS = 203.130.196.155; Secondary DNS = 203.130.208.18 -> OK

Aktifkan MRTG untuk Interface
Tools -> Graphing -> Interface Rules -> Interface : ether1-gateway; Allow Address : 0.0.0.0/0; Store on Disk : enable -> OK

Aktifkan MRTG untuk Resource (Memory, CPU, HDD)
Tools -> Graphing -> Resource Rules -> Allow Address : 0.0.0.0/0; Store on Disk : enable -> OK

Aktifkan VLAN
Interfaces -> VLAN -> Name : vlan1; Type : VLAN; MTU : 1500; VLAN ID : 1; Interface : ether1-local -> OK.
IP -> Firewall -> Mangle -> Chain : forward; In. Interface : ether1-gateway; Out. Interface : vlan1; Action : accept -> OK

Mengatur Jam

System -> NTP Client -> Enabled : yes; Mode : unicast; Primary NTP Server : ntp.kim.lipi.go.id atau 203.160.128.178; yang lainnya (seperti Poll Interval, Active Server, Last Update From) akan terisi dengan sendirinya -> OK

System -> Clock -> Time Zone Name : Asia/Jakarta; yang lain akan akan terisi dengan sendirinya -> OK

Atur Jam Sistem agar mengacu ke NTP
System -> NTP Client-> Enabled -> Mode : unicast -> Primary NTP Server : 202.134.6.170 -> Apply -> OK
System -> Clock -> Time Zone Name : Asia/Jakarta -> Apply -> OK

Bandwidth Control
Queues -> Queue Tree -> Name; Parent; Packet Mask; Queue Type; Priority; Max Limit, Burst Limit; Burst Time -> OK
Burst Limit dan Burst Time untuk test bandwidth.
Queues -> Queue Types -> Type Name; Kind; Rate = 0; Limit = 50; Total Limit = 2000; Classifier -> OK
Bandwidth control ini terkait dengan Mangle pada IP -> Firewall -> Mangle. Packet Mark pada Queue Tree akan digunakan pada

Backup dan Restore
Files -> Backup -> tunggu sampai ada file baru dengan nama kira-kira : MikroTik-10042010-2021.backup.
Perhatikan Creation Time apakah sesuai dengan waktu saat ini? Nama file tampaknya sesuai dengan waktu pembuatannya. 10042010 artinya tanggal 10 April 2010. 2021 artinya jam 20:21.
Untuk memindahkan file hasil backup ke luar MikroTik, misal ke PC anda, gunakan FTP Client. Untuk itu anda harus tahu alamat IP dari MikroTik yang mau di-FTP ini.
Untuk mengaktikan (me-restore) hasil backup ini di MikroTik lain, pindahkan file backup ini dari PC anda ke MikroTik lain. DI MikroTik lain ini lalukan perintah Restore.
Files -> pilih file backup -> Restore.

Awalnya untuk memindahkan setting dan konfigurasi MikroTik dari MikroTik yang satu ke MikroTik lainnya dengan perintah export dan import. Ternyata perintah ini tidak memberi hasil yang diinginkan.

Mengetahui jumlah PC yang terkoneksi
Tools -> IP Scan -> Interface : vlan_ppin -> Address Range : 0.0.0.0 -> Start
Tunggu beberapa saat hingga daftar IP Address yang sedang aktif tampil, lihat title window-nya ada tulisan "running".

Sebelumnya menggunakan perintah baris nmap dari Proxy Server. Di MikroTik tidak ada perintah nmap.

Menambah User
System -> Users -> Tab Users -> (+) -> Name : xxxxx, Group : All -> Password -> New Pasword : xxx , Confirm Password : xxx -> OK

Baca juga:
http://fajar.uii.net.id/mikrotik/Setup%20Mikrotik%20Sebagai%20Gateway.pdf

Friday, October 30, 2009

Port Forwarding di MikroTik

Port Forwarding adalah semacam PAT (Port Address Translation) atau NAPT (Network Address and Port Translation). Ini adalah suatu teknik untuk mengenali komputer lokal dari Internet menggunakan IP Address-nya gateway plus port. Misal saya punya Mikrotik dengan IP untuk Eth1 = 192.168.1.3/24 dan Eth2 = 192.168.2.1/24. Dari komputer (IP = 192.168.1.5/24) yang satu subnet dengan Eth1, saya ingin mengakses komputer lokal (IP = 192.168.2.2/24) lainnya pada Eth2. Dengan PAT, maka komputer pada Eth2 dapat diakses dari Eth1.

Mengkonfigurasi agar bisa mengakses SSH di komputer 192.168.2.2 dari komputer 192.168.1.5 :

[admin@MikroTik1] > ip firewall nat add chain=dstnat dst-address=192.168.1.3 action=dst-nat dst-port=22 to-addresses=192.168.2.2 to-ports=22 protocol=tcp
[admin@MikroTik1] >


Contoh :
Jika ingin mengakses SSH komputer 192.168.2.2, maka jalankan perintah baris berikut ini :
$ ssh msmunir@192.168.1.3
Meskipun 192.168.1.3 adalah MikroTik, namun karena sudah di-redirect, SSH akan diarahkan ke komputer 192.168.2.2 yang ada di belakang MikroTik.

Mengkonfigurasi agar bisa mengakses HTTP di komputer 192.168.2.2 dari komputer 192.168.1.5 :

[admin@MikroTik1] > ip firewall nat add chain=dstnat dst-address=192.168.1.3 action=dst-nat dst-port=5900 to-addresses=192.168.2.2 to-ports=80 protocol=tcp
[admin@MikroTik1] >


Contoh :
Jika ingin mengakses webserver di komputer 192.168.2.2, maka dari web browser masukkan alamat : http://192.168.1.3:5900/

Pekerjaan rumah :
  1. Percobaan selanjutnya saya akan mengganti Eth1 dari 192.168.1.3 dengan IP Public. Dan saya akan mencoba mengakses PC dengan IP Private yang ada di kantor dari rumah.
  2. Percobaan selanjutnya lagi adalah mencoba mengakses IP Camera yang ada di rumah. Karena pakai Speedy Family, tampaknya IP yang didapat adalah dinamik. Misal 125.160.101.5.
Hasil PR :

Mengkonfigurasi agar bisa mengakses SSH di komputer 192.168.2.2 dari komputer mana aja yang penting konek ke Internet :

[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=202.46.3.72 action=dst-nat dst-port=22 to-addresses=192.168.2.2 to-ports=22 protocol=tcp
[admin@MikroTik] >


Contoh :
Jika ingin mengakses SSH komputer 192.168.2.2, maka jalankan perintah baris berikut ini :
$ ssh msmunir@202.46.3.72
Meskipun 202.46.3.72 adalah MikroTik, namun karena sudah di-redirect, SSH akan diarahkan ke komputer 192.168.2.2 yang ada di belakang MikroTik.

Mengkonfigurasi agar bisa mengakses HTTP di komputer 192.168.2.2 dari komputer mana aja yang penting konek ke Internet :

[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=202.46.3.72 action=dst-nat dst-port=5900 to-addresses=192.168.2.2 to-ports=80 protocol=tcp
[admin@MikroTik] >


Mengkonfigurasi agar bisa mengakses IP Camera TRENDnet TV-IP422 dengan IP 192.168.2.30 dari komputer mana aja yang penting konek ke Internet :

[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=202.46.3.72 action=dst-nat dst-port=5910 to-addresses=192.168.2.30 to-ports=80 protocol=tcp
[admin@MikroTik] >


Mengkonfigurasi agar bisa mengakses IP Camera TRENDnet TV-IP422 dengan IP 192.168.2.31 dari komputer mana aja yang penting konek ke Internet :

[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=202.46.3.72 action=dst-nat dst-port=5940 to-addresses=192.168.2.31 to-ports=80 protocol=tcp
[admin@MikroTik] >


Mengkonfigurasi agar bisa mengakses IP Camera TRENDnet TV-IP200 dengan IP 192.168.2.3 dari komputer mana aja yang penting konek ke Internet :

[admin@MikroTik] > ip firewall nat add chain=dstnat dst-address=202.46.3.72 action=dst-nat dst-port=5920 to-addresses=192.168.2.3 to-ports=80 protocol=tcp
[admin@MikroTik] >

Tampaknya ada error saat mengaktifkan java mode-nya. Entah kenapa? Mungkin dari IP Camera-nya.

Lihat juga :
http://primadonal.wordpress.com/2008/02/10/port-forwarding-modem-adsl-mikrotik/
http://baratev.sourceforge.net/stuff/mt.squid.txt
http://www.mail-archive.com/tpotc@yahoogroups.com/msg00536.html

13 Agustus 2011
ip firewall nat add chain=dstnat dst-address=183.91.x1.130 action=dst-nat dst-port=1234 to-addresses=183.91.x3.3 to-ports=80 protocol=tcp